SEC culpa hack de conta de mídia social pelo ataque de ‘troca de SIM’ em postagem falsa de ETF de Bitcoin
A Comissão de Valores Mobiliários dos EUA (SEC) revelou que sua conta de mídia social no X foi vítima de um ataque de “troca de SIM” em relação à postagem falsa sobre a aprovação de fundos negociados em bolsa (ETFs) de Bitcoin no início deste mês.
O incidente, que ocorreu em 9 de janeiro, levou a um aumento temporário no preço do Bitcoin, seguido por uma queda nos preços depois que o presidente da SEC, Gary Gensler, disse em sua conta X pessoal que a conta X da SEC havia sido “comprometida”.
O @SECGov a conta do Twitter foi comprometida e um tweet não autorizado foi postado. A SEC não aprovou a listagem e negociação de produtos negociados em bolsa de bitcoin à vista.
-Gary Gensler (@GaryGensler) 9 de janeiro de 2024
Em um declaração publicado na segunda-feira desta semana, a SEC disse que seis meses antes do ataque, uma camada adicional de proteção conhecida como autenticação multifator (MFA) foi removida pela equipe e só foi restabelecida após o ataque de 9 de janeiro.
A postagem fraudulenta foi seguida por uma votação da comissão no dia seguinte, que resultou na aprovação de todos os pedidos de ETF Bitcoin à vista.
A troca de SIM envolve que os invasores obtenham o controle de um número de telefone reatribuindo-o a um novo dispositivo.
Uma vez sob controle do número de telefone, a parte não autorizada redefiniu a senha da conta @SECGov, disse o comunicado.
A nova declaração do regulador confirma detalhes importantes compartilhados pela X Safety já no dia seguinte ao incidente.
Podemos confirmar que a conta @SECGov foi comprometido e concluímos uma investigação preliminar. Com base em nossa investigação, o comprometimento não foi devido a qualquer violação dos sistemas de X, mas sim devido a um indivíduo não identificado obter controle sobre um número de telefone…
– Segurança (@Segurança) 10 de janeiro de 2024
Investigação em andamento pela SEC e agências de aplicação da lei
De acordo com a nova declaração da SEC, as agências policiais estão atualmente investigando como os hackers persuadiram a operadora móvel da SEC a facilitar a troca de número de telefone.
A agência não divulgou a identidade da transportadora envolvida.
Tanto legisladores como líderes da indústria cripto procuraram explicações para a vulnerabilidade da SEC a tal ataque, especialmente tendo em conta os rigorosos requisitos de segurança cibernética do regulador para empresas de capital aberto.
O incidente está sob investigação por várias agências, incluindo o Escritório do Inspetor Geral da SEC e sua Divisão de Execução, a Commodity Futures Trading Commission, o Federal Bureau of Investigation, o Departamento de Justiça e a Agência de Segurança Cibernética e de Infraestrutura.
A autenticação multifator agora está habilitada para todas as contas de mídia social da SEC que a oferecem, acrescentou a declaração da SEC.
